Mise en œuvre

L’objectif de cette section est de décrire le paramétrage nécessaire sur les différents IPS-Firewalls participant au VPN IPSec :

  • Création des objets réseau,
  • Création de l’infrastructure PKI,
    • Autorité de certification (CA),
    • Liste de révocation de certificats (CRL),
    • Certificats des IPS-Firewalls,
  • Création des tunnels IPSec,
  • Mise en place des règles de filtrage.

Configuration du site principal

Création des objets réseau

La création d’une connexion VPN IPSEC entre ces trois entités nécessite à minima sept objets réseau :

  • le réseau local du site principal: Private_Net_Main_Site,
  • l’adresse publique de l’IPS-Firewall principal: Pub_Main_FW,
  • le réseau local du site distant A: Private_Net_Site_A,
  • l’adresse publique de l’IPS-Firewall du site distant A: Pub_FW_Site_A,
  • le réseau local du site distant B: Private_Net_Site_B,
  • l’adresse publique de l’IPS-Firewall du site distant B: Pub_FW_Site_B,
  • le serveur intranet à joindre sur le site principal: Intranet_server.

Ces objets doivent être définis sur chacun des IPS-Firewalls à mettre en relation, via le menu : Configuration > Objets > Objets réseau.

Création de l’infrastructure PKI

Autorité de Certification (CA)

Dans le menu Configuration > Objets > Certificats et PKI, cliquez sur Ajouter > Ajouter une autorité racine :

 

Renseignez les différents champs obligatoires de l’assistant de création :

  • CN : le nom de votre autorité de certification,
  • Identifiant : le nom entré dans le champ CN est proposé par défaut,
  • Organisation (O). Exemple : le nom de votre entreprise,
  • Unité d’organisation (OU). Exemple : le nom du service utilisateur de la CA,
  • Etat ou province (ST),
  • Pays (C).

 

REMARQUE

Lors de la création d’une autorité racine, les champs Autorité parente et Mot de passe sont vides.

Complétez ensuite les champs :

  • Mot de passe (nécessaire lors de la création de certificats),
  • E-mail (optionnel),
  • Taille de clé (2048 octets par défaut),
  • Validité (365 jours par défaut).

 

 

Il vous est possible de définir les URI des points de distribution des CRL (Listes de Révocation de Certificats).

 

Listes de Révocation de Certificats (CRL)

Dans le menu Configuration > Objets > Certificats et PKI, sélectionnez votre CA et cliquez sur Créer CRL :

 

L’assistant vous demande le mot de passe de l’autorité de certification.

Saisissez-le et cliquez sur Créer CRL pour valider

Téléchargez ensuite la CRL (fichier au format PEM) afin de l’importer ultérieurement sur les IPS-Firewalls distants.

Certificat de l’IPS-Firewall principal

Dans le menu Configuration > Objets > Certificats et PKI, cliquez sur Ajouter > Ajouter un certificat serveur.

 

Renseignez le champ Nom de domaine qualifié avec le nom FQDN de l’IPS-Firewall principal.

Le champ Identifiant propose par défaut ce même nom

 

Indiquez ensuite la durée de Validité et la Taille de clé.

 

 

Cliquez sur la loupe du champ Autorité de Certification; sélectionnez votre CA pour signer ce certificat.

 

Renseignez ensuite le mot de passe de l’autorité de certification.

NOTE

Les attributs du certificat sont importés automatiquement. Il vous est néanmoins possible de les modifier.

 

 

L’assistant présente un résumé du certificat. Cliquez sur Terminer pour le fermer.

Certificat des IPS-Firewalls des sites distants

Procédez à la création des certificats serveurs des IPS-Firewalls des sites distants en suivant la méthode précédemment décrite.

Export des données de sécurité des sites distants

Dans le menu Configuration > Objets > Certificats et PKI, sélectionnez le certificat d’un des deux IPS-Firewalls distants. Cliquez sur Téléchargement > Certificat au format P12 :

 

Après avoir saisi un mot de passe pour le protéger, téléchargez le certificat en cliquant sur l’hyperlien proposé et stockez-le sur votre poste d’administration.

Procédez de la même manière pour exporter le certificat du deuxième IPS-Firewall distant.

Création des tunnels IPSec

Ajout de la CA dans les autorités de confiance

Dans le menu Configuration > VPN > VPN IPSec, choisissez l’onglet Identification.

Dans le bloc Autorités de Certification Acceptées, cliquez sur Ajouter et sélectionnez votre CA puis sauvegardez.

 

Création des correspondants IPSec

Dans le menu Configuration > VPN > VPN IPSec, sélectionnez l’onglet Correspondants. Cliquez sur Ajouter.

 

L’assistant vous invite alors à sélectionner la passerelle distante. Ici, il s’agit de l’adresse publique du premier IPS-Firewall distant (objet Pub_FW_Site_A).

 

Par défaut, le nom du correspondant est créé en préfixant cet objet avec « Site_ » ; ce nom est personnalisable. Validez.

 

Choisissez ensuite la méthode Certificat.

 

Cliquez sur la loupe du champ Certificat et sélectionnez celui correspondant à l’IPS-Firewall principal. Le champ Autorité de confiance est automatiquement fourni par le certificat.

 

 

L’assistant vous propose un résumé du correspondant que vous venez de créer. Cliquez sur Terminer pour fermer cette fenêtre. Cliquez à nouveau sur Terminer pour fermer l’assistant.

Répétez l’ensemble de ces opérations pour la création du correspondant IPSec du site distant B.

Choix de la politique de chiffrement et ajout du tunnel VPN

Dans le menu Configuration > VPN > VPN IPSec, sélectionnez l’onglet Politique de chiffrement – Tunnels. Choisissez la politique de chiffrement que vous souhaitez configurer ; vous avez la possibilité de la renommer en cliquant sur le bouton Editer.

Cliquez ensuite sur Ajouter afin de définir les tunnels IPSec. Choisissez le modèle Configuration en étoile.

 

Un assistant de création se lance automatiquement.

  • Dans le champ Réseau local, sélectionnez votre objet Private_Net_Main_Site,
  • Dans le tableau Sites Distants, cliquer sur Ajouter pour sélectionner le premier correspondant en lui associant son réseau (Site_Pub_FW_Site_A et Private_Net_Site_A).
  • Répétez l’opération pour le second correspondant (Site_Pub_FW_Site_B et Private_Net_Site_B),
  • Validez en cliquant sur Terminer.

IMPORTANT

Veillez à ne pas cocher la case Considérer l'(es) interface(s) IPsec comme interne(s) (s'applique à tous les tunnels). Cette option empêcherait l’établissement des tunnels entre les sites distants et le site principal (elle ne peut être utilisée que dans le cadre d’une configuration de type Hub & Spoke). Si vous avez coché cette case par erreur, rendez-vous dans la fenêtre Configuration avancée du module Profils d'inspection (menu Protection applicative) et décochez la case Considérer l'(es) interface(s) IPsec comme interne(s) (s'applique à tous les tunnels - les réseaux distants devront être explicitement légitimés).

NOTE

Les correspondants peuvent être directement créés au sein de cet assistant en cliquant sur >> puis Créer un correspondant.

 

La définition des tunnels IPSec est terminée sur le site principal :

NOTE

Les tunnels sont automatiquement activés (Etat à « on »).

 

Vous pouvez désormais cliquer sur Activer cette politique.

Mise en place des règles de filtrage

Le tunnel VPN est destiné à mettre en relation de manière sécurisée les deux sites distants, mais il n’a pas pour vocation de filtrer les flux autorisés entre ces deux entités. C’est la raison pour laquelle des règles de filtrages doivent être mises en place afin de n’autoriser que les flux nécessaires entre des machines sources et destinations identifiées.

Dans le menu Configuration > Politique de Sécurité > Filtrage et NAT, sélectionnez votre politique de filtrage.

Dans l’onglet Filtrage, cliquez sur le menu Nouvelle règle > Règle standard.

Pour une sécurité accrue, il est possible de créer une règle plus restrictive sur l’IPS-Firewall hébergeant le serveur intranet en précisant l’origine des paquets. Pour cela, lors de la sélection de la source du trafic, indiquez la valeur « Tunnel VPN IPSec » dans le champ Via (onglet Configuration avancée) :

Dans le cas présenté, les postes clients des sites distants doivent pouvoir se connecter en HTTP au serveur intranet situé sur le réseau local du site principal (règle n°1). Vous pouvez également y ajouter temporairement, par exemple, le protocole ICMP afin de tester plus facilement l’établissement du tunnel (règle n°2).

Sur le site principal, les règles de filtrage prendront la forme suivante :

NOTE 

Les fonctionnalités avancées des IPS-Firewalls (utilisation de proxies, profils d’inspection de sécurité…) peuvent bien évidemment être mises en œuvre dans ces règles de filtrage.

 

Configuration des sites distants A et B

Création des objets réseau

Définissez les cinq objets réseau nécessaires via le menu : Configuration > Objets > Objets réseau.

Sur le site distant A :

  • le réseau local du site principal: Private_Net_Main_Site,
  • l’adresse publique de l’IPS-Firewall principal: Pub_Main_FW,
  • le réseau local du site distant A: Private_Net_Site_A,
  • l’adresse publique de l’IPS-Firewall du site distant A: Pub_FW_Site_A,
  • le serveur intranet à joindre sur le site principal:Intranet_server.

 

Sur le site distant B :

  • le réseau local du site principal: Private_Net_Main_Site,
  • l’adresse publique de l’IPS-Firewall principal: Pub_Main_FW,
  • le réseau local du site distant B: Private_Net_Site_B,
  • l’adresse publique de l’IPS-Firewall du site distant B: Pub_FW_Site_B,
  • le serveur intranet à joindre sur le site principal:Intranet_server.

 

Import des éléments d’authentification

Import du certificat de chaque IPS-Firewall distant

Dans le menu Configuration > Objets > Certificats et PKI, cliquer sur Ajouter > Importer un fichier.
Sur chacun des sites distants, sélectionnez le certificat de son IPS-Firewall et renseignez son mot de passe.

Import de la CRL

Dans le menu Configuration > Objets > Certificats et PKI, cliquer sur Ajouter > Importer un fichier. Sélectionner le fichier de la CRL exportée précédemment et renseignez son mot de passe.

 

Création des tunnels IPSec

Ajout de la CA dans les autorités de confiance

Reportez-vous à la section Configuration du site principal, partie Ajout de la CA dans les autorités de confiance.

Création du correspondant IPSec

Sur chaque site distant, définissez le correspondant IPSec du site principal.

Pour ce faire, reportez-vous à la section Configuration du site principal, partie Création des correspondants IPSec.

Les objets à sélectionner seront les suivants :

Sur le site distant A :

  • Réseau local :Private_Net_Site_A,
  • Champ Correspondant : Pub_Main_FW,
  • Champ Réseaux distants :Private_Net_Main_Site.

 

Sur le site distant B :

  • Réseau local :Private_Net_Site_B,
  • Champ Correspondant : Pub_Main_FW,
  • Champ Réseaux distants :Private_Net_Main_Site.

Choix de la politique de chiffrement et ajout du tunnel VPN

Dans le menu Configuration > VPN > VPN IPSec, sélectionnez l’onglet Politique de chiffrement – Tunnels.

Choisissez la politique de chiffrement que vous souhaitez configurer ; vous avez la possibilité de la renommer en cliquant sur le bouton Editer.

 

Cliquez ensuite sur Ajouter afin de définir le tunnel IPSec. Choisissez le modèle Tunnel site à site.

 

 

Renseignez les champs de l’assistant de création avec les valeurs adaptées à chacun des sites distants.

Sur le site distant A :

  • Réseau local :Private_Net_Site_A,
  • Réseau distant : Private_Net_Main_Site,
  • Passerelle distante : Pub_Main_FW,
  • Certificat : le certificat créé pour l’IPS-Firewall distant du site A.

 

Sur le site distant B :

  • Réseau local :Private_Net_Site_B,
  • Réseau distant : Private_Net_Main_Site,
  • Passerelle distante : Pub_Main_FW,
  • Certificat : le certificat créé pour l’IPS-Firewall distant du site B.

 

Mise en place des règles de filtrage

Dans le menu Configuration > Politique de Sécurité > Filtrage et NAT, sélectionnez votre politique de filtrage.

Dans l’onglet Filtrage, cliquez sur le menu Nouvelle règle > Règle standard.

Dans le cas présenté, les postes clients des sites distants doivent pouvoir se connecter en HTTP au serveur intranet situé sur le réseau local du site principal (règle n°1). Vous pouvez également y ajouter temporairement, par exemple, le protocole ICMP afin de tester plus facilement l’établissement du tunnel (règle n°2).

 

Les règles de filtrage prendront la forme suivante :

Sur le site distant A :

Sur le site distant B :